M1.05 MatrizRiesgosCompleta

MATRIZ DE GESTIÓN DE RIESGOS
IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS INT
N° ACTIVO AMENAZA VULNERABILIDAD
Falta de personal especializado, para dar el

mantenimiento necesario al servidor de dominio
Falla en los componentes físicos
Fallas en el sistema operativo, falta de actualización

de parches
Servidor principal de Paralización de procesos y actividades del
1 No se cuenta con un plan de mantenimiento de los
dominio negocio, no se accede a los servicios de red
servidores
Ataque de virus
Administrador tiene acceso total a la base de datos y

puede realizar modificaciones
Deficiencia en el diseño de base datos

(normalización de BD).
Servidor principal de Pérdida de recursos, multas y sanciones

2 base de datos y debido a modificación de información
aplicaciones sensible (datos de clientes)
Usuarios acceden a servidor de base de datos por

canales no autorizados
Falla de la línea principal de comunicaciones
Falla de la red de comunicaciones con otras agencias
3 Red de comunicaciones Paralización de servicios de comunicación

3 Red de comunicaciones Paralización de servicios de comunicación
Fallas eléctricas que generen la interrupción de los

procesos y servicios
No se cuenta con servidor de firewall a nivel de

hardware
Acceso de Personal no autorizado (interno/externo)

a la sala de servidores
Sabotaje a las instalaciones
Sala de servidores o
4 Centro de Procesamiento
Central Falta de un sistema de vigilancia y de seguridad del
equipamiento en la sala de servidores.
No se mantiene un control o registro de acceso a las

áreas restringidas
Falta de un registro de acceso a la sala de servidores

Pérdida de Activos de TI en la sala de
servidores (costo de hardware / paralización
de Operaciones)
Pérdida de Activos de TI en la sala de
servidores (costo de hardware / paralización
de Operaciones)
No se tiene una política y procedimiento para el
personal que realiza mantenimiento en la institución
Personal de vigilancia no lleva un control de los

equipos de entrada / salida (personal de
mantenimiento). Y revisión de maletines.
Falta de un adecuado procedimiento para la

asignación de perfiles para accesos a la BD
Existencia de passwords no adecuados para usuarios

locales y de red
Privilegios para los usuarios de acceso a las

aplicaciones no son revisados periódicamente
Multas y sanciones, Perdida de información

sensible de la empresa debido a accesos
inadecuados a las bases de datos Acceso a la BD desde otras aplicaciones
Virus informáticos
5 Bases de Datos
Realización de copias no autorizadas de la Base de
Datos.
Modificación no autorizada de BD
Incremento de transaciones
Falta de espacio de almacenamiento No existe un procedimiento de mantenimiento de a

BD
Incremento de espacio por virus.
Fallas en los dispositivos de almacenamiento (disco

duro del servidor)
Paralización de procesos, debido a pérdida de

Backups de base de
6 información sensible por falta de protección
datos Falta de un lugar adecuado para su resguardo y
en los dispositivos de almacenamiento.
protección de las copias de respaldo
Errores en el proceso de generación de backups

Errores en el proceso de generación de backups
No se lleva un registro de la generación de backups
Inadecuada segregación de funciones
Retraso en las actividades, paralización de

procesos, pérdida de información debido a No existe un plan de capacitación adecuado
fuga de talentos
Indisponibilidad del personal (enfermedad,
accidente y/o otros actos que impiden al personal
realizar sus actividades)
Abuso de privilegios de accesos
7 Personal de área de TI Falta de control y seguimiento de accesos
Modificación, divulgación y destrucción de la

información Falta de acuerdos de confidencialidad
Impulsos mezquinos que hace que el personal actúe

de manera anormal en el desarrollo de sus labores
Falta de procedimiento de mantenimiento de

usuarios
Errores operativos por parte del usuario (registro de

información errada)
Paralización de procesos debido a Problemas

en el procesamiento de transacciones a nivel
de usuario/cliente.
Fallas en las conexiones de red o en equipo de
Aplicaciones informáticas computo
8 de créditos y captaciones
Fallas eléctricas (a partir de 2 horas)
Falta de soporte realizado al sistema Integrado de

Información brindada al personal del negocio Información Financiera
para el desarrollo de los procesos del negocio
es inexacta debido errores en la integridad de
los datos
Información brindada al personal del negocio
para el desarrollo de los procesos del negocio
es inexacta debido errores en la integridad de
los datos
No llevar un control de la historia del código fuente
Retraso de actividades debido a Caídas del Problemas de conexión o servidor del servicio que
servicio de correo electrónico brinda el proveedor
No generación de copias de respaldo (cuentas

creadas, permisos y configuración)
Capacidad de almacenamiento limitada

Correo electrónico
9 institucional
Pérdida de datos por gestión inadecuada del
servidor de correo electrónico por parte del
proveedor Borrado de cuentas por accesos no autorizados por
personal que administra el correo
Bajo nivel de complejidad del contraseñas de correo

vía acceso-pagina web
Personal no capacitado para el mantenimiento de

equipos de computo
No se ha determinado la vida útil de los equipo
Incumplimiento del plan de mantenimiento de

equipos
Equipos de cómputo Pérdida de información sensible debido a

10 terminales de ventanilla fallas de equipos de cómputo que soportan Fallas en sistema de alimentación eléctrica
y analistas de créditos las operaciones del negocio
Errores de configuración de los equipos
Mal uso del equipo por parte del usuario
Condiciones de ambientes inadecuadas
No se tienen identificados los equipos críticos en

caso de evacuación
El personal guarda información sensible en sus
equipos y no las guarda en el servidor
No se realizan copias de seguridad
Pérdida de la correlación del código fuente de

la versión existente en producción
Accesos no autorizado a la PC de Integración de

Software
Accesibilidad a todo el código fuente sin restricción

por parte del personal de Desarrollo (no se tiene
restricción de acceso al personal de desarrollo)
Código fuente de las

11 aplicaciones
No se realiza una revisión minuciosa de los controles
de cambios entregado por el analista de sistema
Perdida de información, multas y sanciones

por Manipulación de códigos fuente para
beneficio del trabajador
No complejidad de contraseñas en el respaldo de

código fuente
Manipulación del código fuente que puede alterar el

desarrollo normal de un proceso
Observaciones de entes supervisores sobre

12 Archivos de Actas de procesos que están en Producción no Registro - Inventario no adecuado de documentación
conformidad sustentados.
Archivo de Pérdida de información no permite el Registro - Inventario no adecuado de documentación

13 requerimientos cumplimiento de Desarrollo de de requerimiento
informáticos (físico) Requerimientos.
Personal de desarrollo (nuevo) con poco

conocimiento en todos los Procesos de Negocio
Tiempo de desarrollo de requerimientos que
exceden cronograma de actividades.
Analistas de sistemas
14 (Responsables de la
implementación de
requerimientos)
Tiempo de desarrollo de requerimientos que
exceden cronograma de actividades.
Falta de personal para cumplir con la sobrecarga de

Analistas de sistemas requerimientos a desarrollar
14 (Responsables de la
implementación de
requerimientos)
Falta de monitoreo de envío y recepción de correos
Pérdida de información sensible debido a
fuga a través de correos electrónicos y/o
páginas web
Acceso total a la Web
Pérdida de recursos debido a

Implementaciones no acordes a metodología Plan de Inducción no adecuado
y estándares de desarrollo de software
Retraso en las actividades, pérdida de

15 Equipos de cómputo del recursos debido a Infección de Virus Acceso total a la Web
Área de Desarrollo Informáticos
Backups o respaldos de Reversión de adecuaciones a los sistemas, no No se trasladan copias de respaldo en sitios alternos
16 desarrollo y es posible
mantenimiento
17 Herramientas de Paralización de continuidad de Desarrollo de Copia de seguridad en lugares seguros

desarrollo Requerimientos
Registros de control de No poder determinar el origen de los cambios No identificar a los responsables de modificaciones
18 cambios de las
en código Fuente. asignadas a los analistas de sistemas.
aplicaciones
No se ha establecido la periodicidad para la

Pérdida de información, Multas y/o sanciones generación de backups de la normatividad histórica
19 Backups de documentos por no cumplir con el requerimiento de
normativos y de gestión información histórica por parte de ente
supervisor No se ha identificado un lugar adecuado para el
resguardo de los backups
ÓN DE RIESGOS
ÓN DE RIESGOS INTRÍNSECOS
Probabilidad de que la
Impacto estimado en los amenaza explote la Nivel de Riesgo Intrínseco (NRI) CONTROL
procesos
vulnerabilidad
Nivel Categoría Nivel Categoría ID riesgo Nivel Categoría ID Control
3 Moderado 2 Improbable R1 2 Bajo C1
C2
4 Mayor 3 Posible R2 3 Medio
C3
5 Catastrófico 4 Probable R3 5 Muy alto C4
C6
C7
2 Menor 2 Improbable R5 2 Bajo C8
C9
4 Mayor 4 Probable R6 4 Alto C10
C11
2 Menor 3 Posible R7 2 Bajo
C12
C13
5 Catastrófico 4 Probable R8 5 Muy alto

C14
C15
C16
5 Catastrófico 3 Posible R9 4 Alto
C17

C19
4 Mayor 4 Probable R11 4 Alto

C20
C21
C23
C24
C25
5 Catastrófico 2 Improbable R13 3 Medio

C26
C27
C28
C29
C30
C31
C32
2 Menor 3 Posible R14 2 Bajo C33
C34
C35
C36
C37
C38

4 Mayor 3 Posible R18 3 Medio C42
C46

C47
3 Moderado 3 Posible R23 3 Medio C48
C49
C50
C54
3 Moderado 1 Raro R28 1 Muy bajo
C55
C56
C57
C58
C59
C60
C62

C64
C69
C70
5 Catastrófico 3 Posible R37 4 Alto C71
C73
3 Moderado 3 Posible R39 3 Medio

C74
C76
C77
C78

C79
C80

C87
3 Moderado 2 Improbable R49 2 Bajo
C88
C90
4 Mayor 2 Improbable R51 2 Bajo C91
C92
C95
C96

C97
C98
C99
3 Moderado 4 Probable R56 3 Medio C101
C103
C104
C106
4 Mayor 2 Improbable R60 2 Bajo
C107
C108
4 Mayor 2 Improbable R61 2 Bajo C109
C110
C112

C113
C114
C116

C117
C118
2 Menor 4 Probable R68 2 Bajo C121

3 Moderado 4 Probable R73 3 Medio C126
5 Catastrófico 3 Posible R74 4 Alto C127

TRATAMIENTO DE RIESGOS Y EVALUACIÓN DEL RIESGO RESI
CONTROL Estrategia de Situación de
implementación implementación
Descripción
Servicio de Mantenimiento por parte del fabricante correctivo Evitar aumento del riesgo En ejecución
Se cuenta con un servicio de mantenimiento por parte del Evitar aumento del riesgo En ejecución
fabricante
Sala de servidores con controles ambientales Evitar aumento del riesgo En ejecución
Personal capacitado en administración de windows server y Transferencia del riesgo a En proceso

actualizaciónes de parches terceros
Incluir en el Plan de mantenimiento a los servidores Evitar aumento del riesgo En ejecución
Se cuenta con software antivirus instalado en toda la red y con Evitar aumento del riesgo En ejecución
actualizaciones automáticas
Se cuenta con copias de seguridad de la BD Evitar aumento del riesgo En ejecución
Se cuenta con un servidor de backup Evitar aumento del riesgo En ejecución
Se tiene implementado un centro de computo alterno (CCA), el Evitar aumento del riesgo En ejecución
cual permite generar copias de respaldo en línea
El Oficial de Seguridad de la Información monitorea de

manera bimensual las pistas de auditoría al administrador de Elección de controles En ejecución
la BD, asi como también las operaciones que realiza en la
arquitectura de la BD
En el proceso de desarrollo se cuenta con una fase de pruebas

y revisión, donde se analizan el diseño de las tablas y de las Evitar aumento del riesgo En ejecución
modificaciones
La Jefe de Producción, realiza un análisis de los ejecutables y Evitar aumento del riesgo En ejecución
códigos fuentes que pasa la División de desarrollo
Se tiene estabablecido restricciones de acceso mediante la

asignación de perfiles de usuario (no pueden instalar Elección de controles En ejecución
aplicaciones), se desactivan herramientas adicionales que
permiten acceder a la base de datos
La contraseña de acceso a la base de datos tiene un nivel de

complejidad, distinta a las contraseñas que manejan los Elección de controles En ejecución
usuarios locales
Los perfiles de usuarios que acceden a la base de datos tiene Elección de controles En ejecución
accesos restringidos
Transferencia del riesgo a

Se cuenta con línea de contingencia para comunicaciones En proceso
terceros

Reporte de averías al proveedor En ejecución
terceros
Reporte de averías al proveedor En ejecución
terceros
Se cuenta con UPS y grupo electrógeno, el cual permite
mantener la operatividad de los equipos ante una posible Elección de controles En proceso
interrupción del corte de energía eléctrica
Se realizan pruebas de operatividad de los equipos eléctricos, Elección de controles En proceso

con el fin de evaluar su funcionamiento
Se cuenta con un plan de mantenimiento al sistema eléctrico Elección de controles En ejecución
Se cuenta con firewall a nivel de softawre Evitar aumento del riesgo En ejecución
Se cuentan con políticas de seguridad Evitar aumento del riesgo En ejecución
Se registran los accesos a sala de servidores y el area de TI, Evitar aumento del riesgo En ejecución
mediante una bitácora de acceso
Los accesos por parte de personal a realizar mantenimiento, Evitar aumento del riesgo En ejecución
se realiza acompañado de personal del área
El acceso al ambiente de la sala de servidores, tiene acceso

restringido mediante una puerta con llave. La llave la maneja Evitar aumento del riesgo En ejecución
unicamente el Jefe de Producción y Soporte y el Operador de
Sistemas
Sala de servidores se encuentra en un ambiente aislado al Evitar aumento del riesgo En ejecución
ambiente de producción y de Desarrollo
Se tiene implementado una cámara de vigilancia que

monitorea el ingreso de personas internas como externas al Evitar aumento del riesgo En ejecución
área de TI
Se cuenta con un equipo de aire acondicionado el cual no Evitar aumento del riesgo En ejecución
permite el recalentamiento de los equipos
Se tiene instalado extintores y sensores de humo Evitar aumento del riesgo En ejecución
La sala de servidores se encuentra en un ambiente aislado al

ambiente de Producción y de Desarrollo. Este ambiente cuenta Evitar aumento del riesgo En ejecución
con una puerta de acceso bajo llave
Se cuenta con luces de emergencia Evitar aumento del riesgo En ejecución
Se registran los accesos a sala de servidores, mediante una Evitar aumento del riesgo En ejecución
bitácora
Se cuenta con una cámara de vigilancia en la entrada al área de Evitar aumento del riesgo En ejecución
TI
Se tiene designado personal para el manejo de llaves Evitar aumento del riesgo En ejecución
Se cuenta con sala de servidor alterno Evitar aumento del riesgo En ejecución
Mantenimiento de los equipos de seguridad Evitar aumento del riesgo En ejecución
Se cuenta con un plan de pruebas de los sensores por parte del Evitar aumento del riesgo En ejecución
personal de ASBANC
Se cuenta con vigilancia al ingreso a la institución, quién

mediante su cuaderno de cargos registra al personal que Evitar aumento del riesgo En ejecución
ingresa a las zonas de acceso restringido (TI)
Se cuenta con una bitácora, donde el personal interno y

externo que desea ingresar a la sala de servidores debera Evitar aumento del riesgo En ejecución
registrar la hora de ingreso, salida y nombre
No se tienen controles Evitar aumento del riesgo En ejecución
Se cuenta con formatos de entrada salidas de para los equipos Evitar aumento del riesgo En ejecución
que el personal de la Caja saca fuera de las instalaciones
Reglamento de administración de usuarios al SIIF, en el que

incluye las opciones para la asignación de perfiles por usuarios Elección de controles En ejecución
Se permite la creación de contraseñas con un nivel de

seguridad y complejidad, teniendo en cuenta caracteres Evitar aumento del riesgo En ejecución
numéricos y alfanumericos.
Incluir en el Plan de trabajo de la oficialía de seguridad Evitar aumento del riesgo En ejecución
Se han deshabillitado acceso al excel en todas las máquinas Elección de controles En ejecución
Acceso a la BD protegida por un password que es de Elección de controles En ejecución

conocimiento del jefe de area de produccion y soporte
Se realiza la actualización del antivirus en linea Evitar aumento del riesgo En ejecución
BD protegidas con clave y esta clave unicamente la conoce solo

Evitar aumento del riesgo En ejecución
personal autorizado
No se tiene carpetas compartidas de la BD Elección de controles En ejecución
Se efectua una revisión general de los script que envia la Elección de controles En ejecución
sección desarrrollo para el pase a producción
La Jefe de Producción y Soporte supervisa de manera manual

la disponibilidad de la capacidad del disco del servidor, a fin de Evitar aumento del riesgo En ejecución
que exista espacio suficiente para la BD
Se realiza un mantenimiento de la bd, pero no esta Evitar aumento del riesgo En ejecución
documentado
Se cuenta con un antivirus que se actualiza en línea Elección de controles En ejecución
Puertos de control de acceso al servidor se ecuentran Elección de controles En ejecución
bloqueados
Se cuenta con políticas y procedimientos de generación de Elección de controles En ejecución

backups
Se generan dos copias de respaldo, la cual una de ellas se

mantiene en el sitio alterno (Ag. Moshoqueque) y la otra en Elección de controles En ejecución
bóveda(Oficina Principal)
Se lleva un control trimestral del estado de almacenamiento de Elección de controles En ejecución

los medios de respaldo
Se realiza un monitoreo del procedimiento de respaldo de los Elección de controles En ejecución

backups
Se cuenta con un centro de computo alterno que replica

información de la BD de manera automática; asimismo se
cuenta con un servidor de base de datos de respaldo en el Elección de controles En proceso
centro de computo principal (CCP) en caso de caída del
servidor primario
Se realiza una verificación de estado de almacenamiento y Evitar aumento del riesgo En ejecución
resguardo de los medios de respaldo.
La herramienta que comprime la BD, realiza una verificación Elección de controles En ejecución
automática de los archivos comprimidos
El programa que graba los archivos comprimidos en los Elección de controles En proceso
medios, realiza una verificación despues de la grabación
Se realiza la verificación periódica de las copias generadas Elección de controles En ejecución
Se cuenta con un cuaderno de cargos en el cual se consigna el

envio de las copias de respaldo por fechas de generación,
responsable de envio y recepción, tanto en el CCP como en la Evitar aumento del riesgo En ejecución
agencia moshoqueque.
Se cuenta con manual de organización y funciones en el que se

tiene establecido las responsabilidades que debe cumplir el Evitar aumento del riesgo En ejecución
personal en la operativa diaria
Existe un plan de capacitación presentado por el jefe de TI Evitar aumento del riesgo En ejecución
Se tiene personal de reemplazo, pero no esta totalmente Evitar aumento del riesgo En ejecución
capacitado en las actividades diarias.
La asignación de privilegios va de acuerdo al manual de Elección de controles En ejecución

funciones
Se generan pistas de auditoria que son revisadas

periodicamente Elección de controles En ejecución
Se cuenta con un procedimiento para la revisión de usuarios

del sistema de manera semestral, lo cual debera ser verificado Elección de controles En ejecución
por personal de Recursos Humanos
Existen acuerdos de confidencialidad, los cuales han sido

entregados al personal al momento de su ingreso a la Elección de controles En ejecución
institución y estos acuerdos estan previamente firmados
Al inicio de la relación laboral, se realizan evaluaciones Evitar aumento del riesgo En ejecución
psicologícos al personal y evaluación de historial
Se cuenta con políticas de seguridad y se cuenta con Evitar aumento del riesgo En ejecución
reglamentos internos que establecen sanciones
Se cuenta con reglamento de altas, bajas y modificación de Evitar aumento del riesgo En ejecución
usuarios.
Existe validaciones en el sistema para el registro de
información. Esta validación se ha determinado a nivel de base Evitar aumento del riesgo En ejecución
de datos
En los perfiles del puesto, se ha designado como requisito que Evitar aumento del riesgo En ejecución
el personal cuente con conocimientos básicos de computación
Se cuenta con equipos de respaldo de computo y soporte

técnico (interno), ademas de asignar una categoria de urgencia Evitar aumento del riesgo En ejecución
de equipos
Se cuenta con personal técnico externo Evitar aumento del riesgo En ejecución
Personal interno puede resolver problemas hasta cierto nivel Evitar aumento del riesgo En ejecución
de complejidad
Se cuenta con grupo electrógeno y un sistema de alimentación Evitar aumento del riesgo En ejecución
ininterrumpida (UPS)
Se da soporte de mantenimiento basado en requerimientos de

los usuarios y mejoras de los procesos existentes de manera Evitar aumento del riesgo En ejecución
continua
Toda versión del sistema de información histórica se encuentra Evitar aumento del riesgo En ejecución
documentado en files
Se comunica vía telefonía la incidencia presentada Evitar aumento del riesgo En ejecución
El proveedor genera copias de respaldo de las configuraciones Evitar aumento del riesgo En ejecución
de los correos
Se revisa el estado de almacenamiento en el hosting de correo Evitar aumento del riesgo En ejecución
y se asigna cuota por cuenta de acuerdo al tipo de usuario
Se actualiza las contraseñas, cuando el personal que Evitar aumento del riesgo En ejecución
administró el correo ya no forma parte de la institución
Se firma un acuerdo de confidencialidad Evitar aumento del riesgo En ejecución
Se tiene un reglamento de uso de correo, donde se establecen Evitar aumento del riesgo En ejecución
indicaciones para la creación de contraseñas
Se cuenta con un proceso de evaluación del personal nuevo Evitar aumento del riesgo En ejecución
por parte de Recursos Humanos
Se cuenta con una lista de técnicos que permiten realizar el Evitar aumento del riesgo En ejecución
mantenimiento de los equipos
La empresa proveedora, brinda servicios de mantenimiento a Evitar aumento del riesgo En ejecución
los equipos arrendados
Los equipos de computo se han arrendado a un proveedor por

un periodo de tres años; asimismo se ha firmado un acuerdo Evitar aumento del riesgo En ejecución
un acuerdo de niveles de servicio con el arrendador
Se realiza un seguimiento al cumplimiento del plan por parte

de la persona responsable de Continuidad del Negocio y el Evitar aumento del riesgo En ejecución
seguimiento es reportado en el informe de Continuidad de
Negocio de manera bimensual
Existe un plan de manteniemiento del sistema eléctrico, este Evitar aumento del riesgo En ejecución
mantenimiento se realiza de manera semestral
Se cuenta con una red eléctrica estabilizada Evitar aumento del riesgo En ejecución
las PCs de misión crítica estan conectadas a UPS Evitar aumento del riesgo En ejecución
Se realizan pruebas periodicas del sistema de respaldo Evitar aumento del riesgo En ejecución
eléctrico (UPS, Grupo electrógeno y motor)
Se realiza mantenimiento programado a los equipos eléctricos Evitar aumento del riesgo En ejecución
Se cuenta con personal capacitado para realizar las

configuraciones de los equipos.
En el MOF indica :Es responsabilidad del usuarios, que el buen

uso y conservación de los bienes o activos que la Caja asigna al Evitar aumento del riesgo En ejecución
trabajador para el cumplimiento de sus funciones.
Existe un ambiente para la ubicación de los equipos, asi

mismo estos ambientes cuentan con ambientes de ventilación. Evitar aumento del riesgo En ejecución
Se tienen identificados los equipos críticos del area de TI y Evitar aumento del riesgo En ejecución
centro de computo Principal
Se cuenta con politicas para la clasificación de la información Evitar aumento del riesgo En ejecución
Política de escritorios y pantallas limpias Elección de controles En ejecución
Se realizan copias de seguridad de manera semanal, asi mismo

se lleva un control de los backups del código fuente generado Evitar aumento del riesgo En ejecución
por el personal de desrrollo
Se mantiene tres copias de respaldo (Of.principal. Evitar aumento del riesgo En ejecución
Moshoqueque y Sección de desarrollo)
Seguridad de acceso local de usuario Evitar aumento del riesgo En ejecución
La pc de integración de desarrollo esta separada de la red de Evitar aumento del riesgo En ejecución
producción
Se generar copias de seguridad del código fuentes// existe Evitar aumento del riesgo En ejecución
registro de versiones
El código fuente es clasificada como información restringida y Elección de controles En ejecución

controlada por el Jefe de TI
Se mantiene un documento de control de cambios, donde se

detalla todo lo que se modifica a nivel de código fuente , a Elección de controles En ejecución
nivel de base de datos y a nivel de dato
Se realiza un control de calidad de todos los puntos integrados Elección de controles En ejecución
de los analistas de sistemas
Control de calidad por parte de la División de producción antes Elección de controles En ejecución
de su implantación
Se ha asignado un complejidad en la contraseñas teniendo en Evitar aumento del riesgo En ejecución

carácteres y números, la contraseña cambia en cada respaldo
Las modificaciones solo tienen impacto en las aplicaciones, ya

que en la integración solo se actualizan los objetos de acuerdo Elección de controles En ejecución
al requerimiento del usuario
El especialista en sistemas de Información puede detectar

Elección de controles En ejecución
cambios no programados
Existe una fase de prueba en desarrollo y certificacíon antes Elección de controles En ejecución
del pase a producción
Se cuenta con file de versiones en donde se adjuntan los

requerimientos de los usuarios, control de cambios, manuales Evitar aumento del riesgo En ejecución
de usuarios, conformidades y otra documentación según
corresponda el tipo de requerimiento
Se mantiene un listado de inventario denominado matriz de

requerimientos
Al ingresar cada analista de sistemas recibe inducción sobre los

procesos del negocio y de los procesos automatizados de
negocio. Asignación de tareas de manera gradual. Asignación Evitar aumento del riesgo En ejecución
de requerimientos teniendo en cuenta el nivel de experiencia
en el desarrollo del proceso del negocio.
Se priorizan los requerimientos de implementación de Evitar aumento del riesgo En ejecución
procesos mas importantes
Existe reglamento específico de acceso a Internet Evitar aumento del riesgo En ejecución
Existe restricción de acceso a Internet según niveles de acceso Elección de controles En ejecución
de usuarios
Se realiza un proceso de inducción de los proceso del negocio y Evitar aumento del riesgo En ejecución
de los procesos automatizados en el sistema.
Instalación de Antivirus y Evitar aumento del riesgo En ejecución
Se mantiene un inventario de los backups generados, asi

mismo se generan tres copias de respaldo que son enviados al Elección de controles En ejecución
sitio alterno
Se cuenta con licencias de uso de software de desarrollo

(lenguaje de programación y manejador de BD. Se puede Evitar aumento del riesgo En ejecución
solicitar al proveedor copias de los instaladores
En la integración de codigo fuente, el especialista de sistemas

verifica los comentarios de identificacion en el código fuente Evitar aumento del riesgo En ejecución
(identificador del analista de sistemas, la fecha de cambio y
motivo o descripción del cambio)
Se genera una copia mensual de la normativa vigente, se lleva Evitar aumento del riesgo En ejecución
un control de cambios en cada documento normativo.
No se cuenta con controles Evitar aumento del riesgo En ejecución

UACIÓN DEL RIESGO RESIDUAL
Probabilidad de que la
Impacto estimado en los amenaza explote la Nivel de Riesgo Intrínseco (NRR)
procesos
vulnerabilidad
Nivel Categoría Nivel Categoría ID riesgo Nivel Categoría
2 Menor 2 Improbable R5 2 Bajo


3 Moderado 1 Raro R28 1 Muy bajo


3 Moderado 4 Probable R56 3 Medio

2 Menor 4 Probable R68 2 Bajo

3 Moderado 4 Probable R73 3 Medio

BRECHA DE SEGURIDAD
Análisis de riesgo residual Apetito de riesgos
Nivel de riesgo se mantiene Riesgo aceptable
Nivel de riesgo se redujo Riesgo aceptable

significativamente

significativamente

Nivel de riesgo se mantiene Riesgo NO aceptable


significativamente

significativamente

significativamente

significativamente


significativamente
Nivel de riesgo se redujo Riesgo NO aceptable


significativamente

significativamente

Evaluación Nivel de Riesgo Tabla
Probabilidad Impacto Probabilidad-Impacto NRI Nivel Impacto
5. Casi Certeza 5. Catastrófico 5. Casi Certeza5. Catastrófico Extremo 1 Insignificante
5. Casi Certeza 4. Mayor 5. Casi Certeza4. Mayor Extremo 2 Menor
5. Casi Certeza 3. Moderado 5. Casi Certeza3. Moderado Extremo 3 Moderado
5. Casi Certeza 2. Menor 5. Casi Certeza2. Menor Alto 4 Mayor
5. Casi Certeza 1. Insignificante 5. Casi Certeza1. Insignificante Alto 5 Catastrófico
4. Probable 5. Catastrófico 4. Probable5. Catastrófico Extremo

4. Probable 4. Mayor 4. Probable4. Mayor Extremo Tabla de valorac
4. Probable 3. Moderado 4. Probable3. Moderado Alto Nivel Probabilidad
4. Probable 2. Menor 4. Probable2. Menor Alto 1 Raro
4. Probable 1. Insignificante 4. Probable1. Insignificante Moderado 2 Improbable
3. Posible 5. Catastrófico 3. Posible5. Catastrófico Extremo 3 Posible
3. Posible 4. Mayor 3. Posible4. Mayor Extremo 4 Probable
3. Posible 3. Moderado 3. Posible3. Moderado Alto 5 Casi seguro
3. Posible 2. Menor 3. Posible2. Menor Moderado

3. Posible 1. Insignificante 3. Posible1. Insignificante Bajo T
2. Improbable 5. Catastrófico 2. Improbable5. Catastrófico Extremo Nivel Probabilidad
2. Improbable 4. Mayor 2. Improbable4. Mayor Alto 1 Muy bajo
2. Improbable 3. Moderado 2. Improbable3. Moderado Moderado 2 Bajo
2. Improbable 2. Menor 2. Improbable2. Menor Bajo 3 Medio
2. Improbable 1. Insignificante 2. Improbable1. Insignificante Bajo 4 Alto
1. Raro 5. Catastrófico 1. Raro5. Catastrófico Alto 5 Muy alto
1. Raro 4. Mayor 1. Raro4. Mayor Alto

1. Raro 3. Moderado 1. Raro3. Moderado Moderado
1. Raro 2. Menor 1. Raro2. Menor Bajo
1. Raro 1. Insignificante 1. Raro1. Insignificante Bajo
Tabla de valoración de los niveles de impacto de una amenaza
Descripción
Tiene un efecto nulo o muy pequeño en las operaciones de créditos y captaciones
Afecta parcialmente las operaciones de créditos y captaciones. Paraliza servicios que no afectan directamente al cliente.
Operativamente es sostenible, pero dificulta o retrasa las operaciones de créditos y captaciones. Paraliza parcialmente los servicios críticos a clientes
Paraliza la atención de servicios críticos a clientes, debido a la caída significativa de las operaciones de créditos y captaciones. Pérdida potencial de clientes
Paraliza todas las operaciones de créditos y captaciones de la entidad
Tabla de valoración de los niveles de la probabilidad de ocurrencia de una amenaza

Descripción
No se registra en los últimos 5 años
Se podría presentar una vez cada 5 años
Se podría presentar una vez al año
Se podría presentar una vez cada mes
Se podría presentar varias veces en el mes
Tabla de valoración de los niveles de riesgo intrínseco

Descripción
Irrelevante
Daño menor para la institución
Daño importante para la institución
Daño grave para la institución
Daño muy grave para la institución
Estrategias de implementación de controles
Aceptar el riesgo
Elección de controles
Transferencia del riesgo a terceros
Evitar aumento del riesgo
Situación de implementación de controles

En ejecución
En proceso

M1.05 MatrizRiesgosCompleta

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

M1.05 MatrizRiesgosCompleta

Încărcat de

Drepturi de autor:

Formate disponibile

MATRIZ DE GESTIÓN DE RIESGOS

IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS INT

N° ACTIVO AMENAZA VULNERABILIDAD

Falta de personal especializado, para dar el

Falla en los componentes físicos

Fallas en el sistema operativo, falta de actualización

Administrador tiene acceso total a la base de datos y

Deficiencia en el diseño de base datos

Servidor principal de Pérdida de recursos, multas y sanciones

Usuarios acceden a servidor de base de datos por

Falla de la línea principal de comunicaciones

Falla de la red de comunicaciones con otras agencias

3 Red de comunicaciones Paralización de servicios de comunicación

Fallas eléctricas que generen la interrupción de los

No se cuenta con servidor de firewall a nivel de

Acceso de Personal no autorizado (interno/externo)

Sabotaje a las instalaciones

No se mantiene un control o registro de acceso a las

Falta de un registro de acceso a la sala de servidores

Personal de vigilancia no lleva un control de los

Falta de un adecuado procedimiento para la

Existencia de passwords no adecuados para usuarios

Privilegios para los usuarios de acceso a las

Multas y sanciones, Perdida de información

Falta de espacio de almacenamiento No existe un procedimiento de mantenimiento de a

Incremento de espacio por virus.

Fallas en los dispositivos de almacenamiento (disco

Paralización de procesos, debido a pérdida de

Errores en el proceso de generación de backups

No se lleva un registro de la generación de backups

Inadecuada segregación de funciones

Retraso en las actividades, paralización de

Abuso de privilegios de accesos

7 Personal de área de TI Falta de control y seguimiento de accesos

Modificación, divulgación y destrucción de la

Impulsos mezquinos que hace que el personal actúe

Falta de procedimiento de mantenimiento de

Errores operativos por parte del usuario (registro de

Paralización de procesos debido a Problemas

Fallas eléctricas (a partir de 2 horas)

Falta de soporte realizado al sistema Integrado de

No generación de copias de respaldo (cuentas

Capacidad de almacenamiento limitada

Bajo nivel de complejidad del contraseñas de correo

Personal no capacitado para el mantenimiento de

No se ha determinado la vida útil de los equipo

Incumplimiento del plan de mantenimiento de

Equipos de cómputo Pérdida de información sensible debido a

Errores de configuración de los equipos

Mal uso del equipo por parte del usuario

Condiciones de ambientes inadecuadas

No se tienen identificados los equipos críticos en

No se realizan copias de seguridad

Pérdida de la correlación del código fuente de

Accesos no autorizado a la PC de Integración de

Accesibilidad a todo el código fuente sin restricción

Código fuente de las

Perdida de información, multas y sanciones

No complejidad de contraseñas en el respaldo de

Manipulación del código fuente que puede alterar el

Observaciones de entes supervisores sobre

Archivo de Pérdida de información no permite el Registro - Inventario no adecuado de documentación

Personal de desarrollo (nuevo) con poco